行政手続きに従業員からマイナンバーの提供を受けなければならない場合が多いですが、今回はそうしたときに注意すべきことを特にまとめてみました。
利用目的は事前に提示し、本人確認をしよう
企業が従業員等にマイナンバーの提供を要求する際には、個人情報保護法第18条に基づき、利用目的を本人に通知または公表しなければなりません。
同時に、マイナンバーの提供を求めることができるのは、社会保障及び税に関する手続き書類の作成事務を行う必要がある場合に限られています。例えば、「マイナンバーを社員番号にする」等は目的外利用に当たるため、認められておりません。複数の目的でマイナンバーを利用する場合、まとめて目的を提示しても構いませんが、提示後に利用目的が増えた際には、改めて追加される利用目的を提示する必要があります。原則、一度割り当てられたマイナンバーは生涯利用するものですので、なりすましには特に注意が必要です。取得時には「番号確認」と「身元確認」の両方を行います。前述のなりすましを防ぐ点からも、番号のみの取得は認められません。番号確認は10月から順次発送されている「通知カード」や番号付きの住民票で行い、身元確認は運転免許証、パスポート等で行います。なお、雇用関係にあること等から本人に相違ないことが明らかに判断できる、と個人番号利用事務実施者が認める時は、身元確認のための書類の提示は必要ありません。
それにマイナンバー提供と同時に同意書を従業員に提出させることにより、目的の明示がきちんとされたという裏づけを取ることができます。
また、社内規則の中に新たに必要事項を列挙して、それに基づいてマイナンバーの提供を求めるという内容の規則を作るのもありではないでしょうか。
従業員の家族のマイナンバーの提供を受ける場合
民間企業が取り扱うことになるのは、従業員本人のマイナンバーだけではありません。なぜなら、税金や社会保険料の金額算定には扶養家族の有無や人数も関わってくるからです。つまり、必要書類を作成するためには、従業員の扶養家族のマイナンバーも取得しなければならないということです。ただし、扶養家族のマイナンバーについては、利用目的によって企業側の対応が微妙に異なります。
所得税の年末調整
所得税の年末調整は、従業員が扶養家族の個人情報を提供する形で行われます。そのため、利用目的の通知や本人確認の義務は、従業員本人が負います。会社側が扶養家族の本人確認までする必要はありません。
国民年金の第3号保険者届出の際
一方この場合は、会社に届出をするのは被保険者となっている扶養家族自身です。そのため、本人確認の義務を負うのは会社ということになるので注意しましょう。ただし、これは形式上のことであって、従業員に代理で本人確認を行ってもらうことはルール違反ではありません。
そもそも確認のとれている従業員の扶養家族の本人確認を会社がわざわざ取るというのも妙な話ではあります。
ただし、これは扶養家族の話であり関係のない家族の情報まで会社が取得して良い訳ではありません。
そして、従業員本人のみならず扶養家族の情報まで管理するとなるとますます数が多くなり、責任も増すことでしょう。きちんとした責任の所在を明らかにし、権限を与えた責任者と責任部署による管理体制を作っておかなければなりません。
どのように保管すればよいか?
原則的には、他の重要書類を保管するときと同様に、盗難に注意して厳重に保管するということになります。具体的には、特定個人情報を取り扱う機器、電子媒体や個人番号が記載された書類などについては、施錠できるキャビネット・引き出しなどに収納します。そして、使用しないときは施錠するようにしてください。もちろん、留守にするときには、ドアを確実に施錠しましょう。
事務に必要な書類の保存義務期間が過ぎてしまえば、マイナンバーを含めた書類やデータを廃棄しなければなりません。
もし事務処理ごとに別のファイルでマイナンバーを管理している場合は、その利用目的で保存する必要がなくなった時点で、マイナンバーをまとめて一つのファイルにしている場合は、すべての利用目的で必要なくなった時点で、できるだけ速やかに廃棄もしくは削除を行うことになります。
保存義務のない支払調書の場合は、控えを保管する期間は、確認の必要性や保存の安全性などもありますが、税務における使用を考慮すると、最長で7年間だとされています。
廃棄する方法についても気をつけなければなりません。何より避けなければならないのが、情報の漏洩です。復元できないような方法で、廃棄することが求められます。
書類であればシュレッダーがよいでしょう。データであれば電子データシュレッダーなど、データ復元用の専用ソフトウェア、プログラム、装置等を用いなければ復元できないレベルで、データを消去しましょう。さらに、「削除や破棄を行った」ということ自体も、記録として残しておく必要があります。「特定個人情報ファイルの種類や名称」、「責任者・取扱部署」、「削除・廃棄状況など」を記載して残しておきましょう。その際に、マイナンバー自体を記載に含めないようにすることが必要です。
誰でも知ることができるのであれば、施錠していようが何をしていようが変わりません。
そして、廃棄する上での漏洩も避けなければなりません。
提供を受けるところから廃棄までの一連の流れをマニュアル化して、責任者および担当者・担当部署を定めてより適切に管理することが求められます。
もし漏洩となれば、機密情報を漏洩する管理のなっていない会社であることを世間に示すことになり、また漏洩によって犯罪に巻き込まれる恐れも出てきますので十分な注意が必要です。